SlideShare une entreprise Scribd logo

Blindando o site Joomla!

Júlio Coutinho
Júlio Coutinho

Palestra apresentada no CONSEGI 2013, na oficina sobre Joomla, organizada pela Joomla! Calango. A palestra serviu de suporte para a demonstração prática.

Technologie
1  sur  22
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 1
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 2 TIPOS DE ATAQUES  Força Bruta – “A maioria dos ataques de força-bruta que alcançam sucesso não variam tanto como a senha do usuário.”
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 3  SQL INJECTION - “uma das formas mais comuns e efetivas de ataque na internet. No SQL Injection, tenta-se enviar códigos SQL via consultas SQL não autorizadas e filtradas.”  Directory Scanning – o atacante tenta navegar para um diretório e ver todos os arquivos contidos lá, prevendo que não há um arquivo index.html ou index.php no diretório.  DOS – negação de serviço "Denial of Service" (DoS) é um ataque baseado na tentativa de negar o uso de um servidor ou
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 4 outro recurso para usuários autorizados. Este é um tipo de ataque direcionado ao servidor de hospedagem.”  HTTP Sniffing – é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores.
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 5  Clickjacking – você já se perguntou como as pessoas perdem o facebook, Msn e etc...? Este tipo de ataque cria formulários invisíveis que possibilitam a captura de usuário e senha. Geralmente são inicializados por cavalos de tróia presentes em links recebidos nos emails. É potencialmente perigoso para sites de qualquer natureza, desenvolvidos em qualquer CMS.
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 6
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 7 Blindando o seu Site  Força Bruta Mude o Super User padrão (admin); e Escolha uma senha forte com letras maiúsculas e minúsculas, números e carctreres especiais.  SQL INJECTION Joomla! 3.x atribui uma ID randômica ao super user inicial,
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 8 não existe mais id=62; e Joomla! 3.x atribui prefixos randômicos à tabela #__com_users a cada nova instalação, não existe mais jos_users.  DOS
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 9  HTTP Sniffing Segurança a ser implementada no ambiente de rede com um bom sistema de firewall.  Clickjacking CMS insira o seguinte código na primeira linha do arquivo index.php que está na raiz do site. header('X-Frame-Options: SAMEORIGIN');
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 10 Web Server Configurando o Apache Para configurar o Apache para enviar o cabeçalho X-frame- Options para todas as páginas, adicione a configuração do seu site: # Ln-sf / etc/apache2/mods-available/headers.load / etc/apache2/mods-enabled/headers.load Ex: No arquivo apache2.conf, adicionei a seguinte Entrada: Header always append X-Frame-Options SAMEORIGIN
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 11 Resultado: - Quando é feita uma tentativa de carregar conteúdo em um <iframe></iframe>, o cabeçalho X-Frame-Options nega a permissão. - O navegador Firefox retorna about: blank na aba. Em algum momento, uma mensagem de erro de algum tipo será exibida no quadro(frame). Existem três valores possíveis para X-Frame-Options:
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 12 NEGAR - A página não pode ser apresentada em um <iframe></iframe>, independentemente do local que tenta executá-lo. SAMEORIGIN - A página só pode ser exibida em um <iframe></iframe> sobre a mesma origem que a própria página. ALLOW-FROM uri - A página só pode ser exibida em um <iframe></iframe> sobre a origem especificada.
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 13 (*) se você especificar NEGAR, qualquer tentativa de carregar a página de outro site, ou mesmo do site local, em um <iframe></iframe>, será impedida. (**) se especificar SAMEORIGIN, é possível carregar a página de um site local em um <iframe></iframe>, incluindo-a no mesmo local que serve a página.
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 14 Boas Práticas para otimizar a segurança Backup NOW - faça regularmente o backup de seu site. Se possível, adquira a versão PRO do Akeeba Backup para aproveitar todos os recursos dessa excelente extensão.
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 15  Biblioteca idna_convert - acesse libraries/idna_convert/ e delete o arquivo example.php.Se o arquivo não existe em seu pacote de instalação fique tranquilo, significa que o problema foi resolvido.  Biblioteca idna_convert - acesse libraries/idna_convert/ e delete o arquivo example.php.Se o arquivo não existe em seu pacote de
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 16 instalação fique tranquilo, significa que o problema foi resolvido.  Usuário do Grupo Super Users - troque o usuário padrão do Joomla (admin), por outro qualquer e atribua-lhe uma senha forte.  Extensões de Terceiros - evite instalar extensões pouco conhecidas e utilizadas.
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 17  Permissões - diretórios devem possuir permissão (0755) e arquivos (0644).  Relatório de Erros - desabilite o relatório de erros pois eles pesam o seu website e mostram aos possíveis invasores, falhas de segurança caso existam. Para desabilitar o relatório basta seguir a seguinte sequência: Configurações Globais - Sistema - Relatório de Erros -> nenhum
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 18  Arquivo de configuração - renomeie e mova o arquivo configuration.php para um novo diretório. Exemplo: 1.Renomeie o arquivo configuration.php que está na raiz do website, para config.conf 2.Crie um diretório config e mova o arquivo para este diretório 3.Com o bloco de notas aberto, digite o script abaixo e salve,
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 19 na raiz do seu website, como configuration.php  Arquivo de configuração - renomeie e mova o arquivo configuration.php para um novo diretório.
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 20 Extensões Importantes na Otimização da Segurança  Admin Exile - plugin que encapsula o /administrator do site. URL: http://extensions.joomla.org/search?q=admin+exile&q=adminexile  Bye Bye Generator - plugin para customização do Generator. URL: http://extensions.joomla.org/search?q=byebyegenerator
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 21  Browser Update Warning - plugin que avisa se o navegador está desatualizado. URL: http://extensions.joomla.org/search?q=browser  Akeeba Backup - Componente para backup e recuperação do site. URL: http://extensions.joomla.org/extensions/access-a-security/site- security/backup/1606?qh=YToxOntpOjA7czo2OiJha2VlYmEiO30%3D
© 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 22 Júlio Coutinho - @cout45 http://www.juliocoutinho.com.br Cout45@gmail.com +55 61 9161-9219 Palestra disponível em http://www.slideshare.net/cout45/

Recommandé

Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?Júlio Coutinho
 
Invasão e proteção de servidores JBoss - FLISOL 2009
Invasão e proteção de servidores JBoss - FLISOL 2009Invasão e proteção de servidores JBoss - FLISOL 2009
Invasão e proteção de servidores JBoss - FLISOL 2009Paulo Renato Lopes Seixas
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendadoricardophp
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!ricardophp
 
Blindando aplicações com CMS Joomla!
Blindando aplicações com CMS Joomla!Blindando aplicações com CMS Joomla!
Blindando aplicações com CMS Joomla!Júlio Coutinho
 
Emsl Joomla
Emsl JoomlaEmsl Joomla
Emsl JoomlaDaniel Corrêa
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.Leandrinho Vieira
 

Recommandé

Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?Júlio Coutinho
 
Invasão e proteção de servidores JBoss - FLISOL 2009
Invasão e proteção de servidores JBoss - FLISOL 2009Invasão e proteção de servidores JBoss - FLISOL 2009
Invasão e proteção de servidores JBoss - FLISOL 2009Paulo Renato Lopes Seixas
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendadoricardophp
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!ricardophp
 
Blindando aplicações com CMS Joomla!
Blindando aplicações com CMS Joomla!Blindando aplicações com CMS Joomla!
Blindando aplicações com CMS Joomla!Júlio Coutinho
 
Emsl Joomla
Emsl JoomlaEmsl Joomla
Emsl JoomlaDaniel Corrêa
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.Leandrinho Vieira
 
iMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressiMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressErick Belluci Tedeschi
 
WordPress - Faça seu blog ficar seguro!
WordPress - Faça seu blog ficar seguro!WordPress - Faça seu blog ficar seguro!
WordPress - Faça seu blog ficar seguro!Gustavo Silva Bordoni
 
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...wordcamppoa
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPressSucuri
 
Wordpress e suas funções
Wordpress e suas funçõesWordpress e suas funções
Wordpress e suas funçõesDaniel Marcos
 
Mini Curso Wordpress
Mini Curso WordpressMini Curso Wordpress
Mini Curso WordpressRafael Pinheiro
 
JBUG Brasil - Desvendando as features do WildFly.
JBUG Brasil - Desvendando as features do WildFly.JBUG Brasil - Desvendando as features do WildFly.
JBUG Brasil - Desvendando as features do WildFly.Eduardo Medeiros
 
Criando seu Blog
Criando seu BlogCriando seu Blog
Criando seu BlogBreno Vitorino
 
Otimização de Websites para Ganho de Performance & Resiliência
Otimização de Websites para Ganho de Performance & ResiliênciaOtimização de Websites para Ganho de Performance & Resiliência
Otimização de Websites para Ganho de Performance & ResiliênciaSucuri
 
Administração de portais
Administração de portaisAdministração de portais
Administração de portaisFelipe Perin
 
Minicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesMinicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesJosé Stélio Malcher Jr.
 
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogs
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogsRicardo bernardi word press multisite - crie e gerencie sua rede de blogs
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogswordcamppoa
 
SEO para WordPress - Palestra WordCamp 2017
SEO para WordPress - Palestra WordCamp 2017SEO para WordPress - Palestra WordCamp 2017
SEO para WordPress - Palestra WordCamp 2017Denis Andrade
 
WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimizaçãowebtugahosting
 
Configurando SSL com Let’s Encrypt, EasyEngine e WP-CLI
Configurando SSL com Let’s Encrypt, EasyEngine e WP-CLIConfigurando SSL com Let’s Encrypt, EasyEngine e WP-CLI
Configurando SSL com Let’s Encrypt, EasyEngine e WP-CLIwordcamppoa
 
Mini Curso - Venha Joomlar você também! - InfoWeek 2009
Mini Curso - Venha Joomlar você também! - InfoWeek 2009Mini Curso - Venha Joomlar você também! - InfoWeek 2009
Mini Curso - Venha Joomlar você também! - InfoWeek 2009Daniel Caixeta Queiroz Garcia
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Carlos Henrique Martins da Silva
 
Wordpress ownado
Wordpress ownadoWordpress ownado
Wordpress ownadoDell Technologies
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTales Augusto
 
Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.João Neto
 
Criando Sites Com CMS
Criando Sites Com CMSCriando Sites Com CMS
Criando Sites Com CMSClaudio Toldo
 
Joomla possibilidades infinitas em CMS
Joomla possibilidades infinitas em CMSJoomla possibilidades infinitas em CMS
Joomla possibilidades infinitas em CMSFelipe Perin
 

Contenu connexe

Tendances

iMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressiMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressErick Belluci Tedeschi
 
WordPress - Faça seu blog ficar seguro!
WordPress - Faça seu blog ficar seguro!WordPress - Faça seu blog ficar seguro!
WordPress - Faça seu blog ficar seguro!Gustavo Silva Bordoni
 
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...wordcamppoa
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPressSucuri
 
Wordpress e suas funções
Wordpress e suas funçõesWordpress e suas funções
Wordpress e suas funçõesDaniel Marcos
 
JBUG Brasil - Desvendando as features do WildFly.
JBUG Brasil - Desvendando as features do WildFly.JBUG Brasil - Desvendando as features do WildFly.
JBUG Brasil - Desvendando as features do WildFly.Eduardo Medeiros
 
Otimização de Websites para Ganho de Performance & Resiliência
Otimização de Websites para Ganho de Performance & ResiliênciaOtimização de Websites para Ganho de Performance & Resiliência
Otimização de Websites para Ganho de Performance & ResiliênciaSucuri
 
Administração de portais
Administração de portaisAdministração de portais
Administração de portaisFelipe Perin
 
Minicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesMinicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesJosé Stélio Malcher Jr.
 
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogs
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogsRicardo bernardi word press multisite - crie e gerencie sua rede de blogs
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogswordcamppoa
 
SEO para WordPress - Palestra WordCamp 2017
SEO para WordPress - Palestra WordCamp 2017SEO para WordPress - Palestra WordCamp 2017
SEO para WordPress - Palestra WordCamp 2017Denis Andrade
 
WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimizaçãowebtugahosting
 
Configurando SSL com Let’s Encrypt, EasyEngine e WP-CLI
Configurando SSL com Let’s Encrypt, EasyEngine e WP-CLIConfigurando SSL com Let’s Encrypt, EasyEngine e WP-CLI
Configurando SSL com Let’s Encrypt, EasyEngine e WP-CLIwordcamppoa
 
Mini Curso - Venha Joomlar você também! - InfoWeek 2009
Mini Curso - Venha Joomlar você também! - InfoWeek 2009Mini Curso - Venha Joomlar você também! - InfoWeek 2009
Mini Curso - Venha Joomlar você também! - InfoWeek 2009Daniel Caixeta Queiroz Garcia
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTales Augusto
 
Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.João Neto
 

Tendances (20)

iMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressiMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPress
 
WordPress - Faça seu blog ficar seguro!
WordPress - Faça seu blog ficar seguro!WordPress - Faça seu blog ficar seguro!
WordPress - Faça seu blog ficar seguro!
 
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...
Coisas que eu gostaria de saber antes de começar a desenvolver temas e plugin...
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPress
 
Wordpress e suas funções
Wordpress e suas funçõesWordpress e suas funções
Wordpress e suas funções
 
Mini Curso Wordpress
Mini Curso WordpressMini Curso Wordpress
Mini Curso Wordpress
 
JBUG Brasil - Desvendando as features do WildFly.
JBUG Brasil - Desvendando as features do WildFly.JBUG Brasil - Desvendando as features do WildFly.
JBUG Brasil - Desvendando as features do WildFly.
 
Criando seu Blog
Criando seu BlogCriando seu Blog
Criando seu Blog
 
Otimização de Websites para Ganho de Performance & Resiliência
Otimização de Websites para Ganho de Performance & ResiliênciaOtimização de Websites para Ganho de Performance & Resiliência
Otimização de Websites para Ganho de Performance & Resiliência
 
Administração de portais
Administração de portaisAdministração de portais
Administração de portais
 
Minicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesMinicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sites
 
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogs
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogsRicardo bernardi word press multisite - crie e gerencie sua rede de blogs
Ricardo bernardi word press multisite - crie e gerencie sua rede de blogs
 
SEO para WordPress - Palestra WordCamp 2017
SEO para WordPress - Palestra WordCamp 2017SEO para WordPress - Palestra WordCamp 2017
SEO para WordPress - Palestra WordCamp 2017
 
WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimização
 
Configurando SSL com Let’s Encrypt, EasyEngine e WP-CLI
Configurando SSL com Let’s Encrypt, EasyEngine e WP-CLIConfigurando SSL com Let’s Encrypt, EasyEngine e WP-CLI
Configurando SSL com Let’s Encrypt, EasyEngine e WP-CLI
 
Mini Curso - Venha Joomlar você também! - InfoWeek 2009
Mini Curso - Venha Joomlar você também! - InfoWeek 2009Mini Curso - Venha Joomlar você também! - InfoWeek 2009
Mini Curso - Venha Joomlar você também! - InfoWeek 2009
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
 
Wordpress ownado
Wordpress ownadoWordpress ownado
Wordpress ownado
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPress
 
Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.
 

Similaire à Blindando o site Joomla!

Criando Sites Com CMS
Criando Sites Com CMSCriando Sites Com CMS
Criando Sites Com CMSClaudio Toldo
 
Joomla possibilidades infinitas em CMS
Joomla possibilidades infinitas em CMSJoomla possibilidades infinitas em CMS
Joomla possibilidades infinitas em CMSFelipe Perin
 
instalação do expresso br
instalação do expresso brinstalação do expresso br
instalação do expresso brCarlos Veiga
 
Performance - Acelere seu site! Na web tempo é mais que dinheiro.
Performance - Acelere seu site! Na web tempo é mais que dinheiro.Performance - Acelere seu site! Na web tempo é mais que dinheiro.
Performance - Acelere seu site! Na web tempo é mais que dinheiro.Gustavo Corrêa Alves
 
Seu website Joomla está sob ataque? Defenda-se!
Seu website Joomla está sob ataque? Defenda-se!Seu website Joomla está sob ataque? Defenda-se!
Seu website Joomla está sob ataque? Defenda-se!Júlio Coutinho
 
Como manter o WordPress seguro
Como manter o WordPress seguroComo manter o WordPress seguro
Como manter o WordPress seguroRudá Almeida
 
O Que é Software Livre E Por Que Isso é Importante Para Você
O Que é Software Livre E Por Que Isso é Importante Para VocêO Que é Software Livre E Por Que Isso é Importante Para Você
O Que é Software Livre E Por Que Isso é Importante Para VocêJurmir Canal Neto
 
Aprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosAprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosRichard Barros
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoTeotonio Leiras
 
Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros InteligentesThiago Finardi
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Thiago Dieb
 
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...As Zone
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBErick Belluci Tedeschi
 
Analise frameworks php
Analise frameworks phpAnalise frameworks php
Analise frameworks phpIgor Moura
 
Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"ISCTE
 
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...Dhion C. Hedlund
 

Similaire à Blindando o site Joomla! (20)

Criando Sites Com CMS
Criando Sites Com CMSCriando Sites Com CMS
Criando Sites Com CMS
 
Joomla possibilidades infinitas em CMS
Joomla possibilidades infinitas em CMSJoomla possibilidades infinitas em CMS
Joomla possibilidades infinitas em CMS
 
instalação do expresso br
instalação do expresso brinstalação do expresso br
instalação do expresso br
 
Performance - Acelere seu site! Na web tempo é mais que dinheiro.
Performance - Acelere seu site! Na web tempo é mais que dinheiro.Performance - Acelere seu site! Na web tempo é mais que dinheiro.
Performance - Acelere seu site! Na web tempo é mais que dinheiro.
 
Seu website Joomla está sob ataque? Defenda-se!
Seu website Joomla está sob ataque? Defenda-se!Seu website Joomla está sob ataque? Defenda-se!
Seu website Joomla está sob ataque? Defenda-se!
 
O que é um template?
O que é um template?O que é um template?
O que é um template?
 
Como manter o WordPress seguro
Como manter o WordPress seguroComo manter o WordPress seguro
Como manter o WordPress seguro
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5
 
O Que é Software Livre E Por Que Isso é Importante Para Você
O Que é Software Livre E Por Que Isso é Importante Para VocêO Que é Software Livre E Por Que Isso é Importante Para Você
O Que é Software Livre E Por Que Isso é Importante Para Você
 
Aprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosAprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard Barros
 
Squid proxy
Squid proxySquid proxy
Squid proxy
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e Optimização
 
Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes Oficina de Squid: Filtros Inteligentes
Oficina de Squid: Filtros Inteligentes
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
 
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
 
Website security
Website securityWebsite security
Website security
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
 
Analise frameworks php
Analise frameworks phpAnalise frameworks php
Analise frameworks php
 
Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"
 
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
Oficina "A aplicação do ICA-AtoM na descrição e difusão arquivística - Instal...
 

Plus de Júlio Coutinho

Blindando o Joomla no II Encontro de TI do 7 CTA
Blindando o Joomla no II Encontro de TI do 7 CTABlindando o Joomla no II Encontro de TI do 7 CTA
Blindando o Joomla no II Encontro de TI do 7 CTAJúlio Coutinho
 
Joomla! e Fabrik - Comando e Controle no Haiti
Joomla! e Fabrik - Comando e Controle no HaitiJoomla! e Fabrik - Comando e Controle no Haiti
Joomla! e Fabrik - Comando e Controle no HaitiJúlio Coutinho
 
Descobrindo o Joomla! 3.2
Descobrindo o Joomla! 3.2Descobrindo o Joomla! 3.2
Descobrindo o Joomla! 3.2Júlio Coutinho
 
Processo de Testes de Vulnerabilidades em Componentes MVC para CMS Joomla
Processo de Testes de Vulnerabilidades em Componentes MVC para CMS JoomlaProcesso de Testes de Vulnerabilidades em Componentes MVC para CMS Joomla
Processo de Testes de Vulnerabilidades em Componentes MVC para CMS JoomlaJúlio Coutinho
 
ACL no Joomla! 3 - Criando uma regra na prática
ACL no Joomla! 3 - Criando uma regra na práticaACL no Joomla! 3 - Criando uma regra na prática
ACL no Joomla! 3 - Criando uma regra na práticaJúlio Coutinho
 

Plus de Júlio Coutinho (7)

Blindando o Joomla no II Encontro de TI do 7 CTA
Blindando o Joomla no II Encontro de TI do 7 CTABlindando o Joomla no II Encontro de TI do 7 CTA
Blindando o Joomla no II Encontro de TI do 7 CTA
 
Joomla! e Fabrik - Comando e Controle no Haiti
Joomla! e Fabrik - Comando e Controle no HaitiJoomla! e Fabrik - Comando e Controle no Haiti
Joomla! e Fabrik - Comando e Controle no Haiti
 
Descobrindo o Joomla! 3.2
Descobrindo o Joomla! 3.2Descobrindo o Joomla! 3.2
Descobrindo o Joomla! 3.2
 
Processo de Testes de Vulnerabilidades em Componentes MVC para CMS Joomla
Processo de Testes de Vulnerabilidades em Componentes MVC para CMS JoomlaProcesso de Testes de Vulnerabilidades em Componentes MVC para CMS Joomla
Processo de Testes de Vulnerabilidades em Componentes MVC para CMS Joomla
 
ACL no Joomla! 3 - Criando uma regra na prática
ACL no Joomla! 3 - Criando uma regra na práticaACL no Joomla! 3 - Criando uma regra na prática
ACL no Joomla! 3 - Criando uma regra na prática
 
Case Infraero #jdbr12
Case Infraero #jdbr12Case Infraero #jdbr12
Case Infraero #jdbr12
 
Por quê usar Joomla?
Por quê usar Joomla?Por quê usar Joomla?
Por quê usar Joomla?
 

Blindando o site Joomla!

  • 1. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 1
  • 2. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 2 TIPOS DE ATAQUES  Força Bruta – “A maioria dos ataques de força-bruta que alcançam sucesso não variam tanto como a senha do usuário.”
  • 3. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 3  SQL INJECTION - “uma das formas mais comuns e efetivas de ataque na internet. No SQL Injection, tenta-se enviar códigos SQL via consultas SQL não autorizadas e filtradas.”  Directory Scanning – o atacante tenta navegar para um diretório e ver todos os arquivos contidos lá, prevendo que não há um arquivo index.html ou index.php no diretório.  DOS – negação de serviço "Denial of Service" (DoS) é um ataque baseado na tentativa de negar o uso de um servidor ou
  • 4. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 4 outro recurso para usuários autorizados. Este é um tipo de ataque direcionado ao servidor de hospedagem.”  HTTP Sniffing – é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores.
  • 5. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 5  Clickjacking – você já se perguntou como as pessoas perdem o facebook, Msn e etc...? Este tipo de ataque cria formulários invisíveis que possibilitam a captura de usuário e senha. Geralmente são inicializados por cavalos de tróia presentes em links recebidos nos emails. É potencialmente perigoso para sites de qualquer natureza, desenvolvidos em qualquer CMS.
  • 6. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 6
  • 7. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 7 Blindando o seu Site  Força Bruta Mude o Super User padrão (admin); e Escolha uma senha forte com letras maiúsculas e minúsculas, números e carctreres especiais.  SQL INJECTION Joomla! 3.x atribui uma ID randômica ao super user inicial,
  • 8. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 8 não existe mais id=62; e Joomla! 3.x atribui prefixos randômicos à tabela #__com_users a cada nova instalação, não existe mais jos_users.  DOS
  • 9. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 9  HTTP Sniffing Segurança a ser implementada no ambiente de rede com um bom sistema de firewall.  Clickjacking CMS insira o seguinte código na primeira linha do arquivo index.php que está na raiz do site. header('X-Frame-Options: SAMEORIGIN');
  • 10. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 10 Web Server Configurando o Apache Para configurar o Apache para enviar o cabeçalho X-frame- Options para todas as páginas, adicione a configuração do seu site: # Ln-sf / etc/apache2/mods-available/headers.load / etc/apache2/mods-enabled/headers.load Ex: No arquivo apache2.conf, adicionei a seguinte Entrada: Header always append X-Frame-Options SAMEORIGIN
  • 11. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 11 Resultado: - Quando é feita uma tentativa de carregar conteúdo em um <iframe></iframe>, o cabeçalho X-Frame-Options nega a permissão. - O navegador Firefox retorna about: blank na aba. Em algum momento, uma mensagem de erro de algum tipo será exibida no quadro(frame). Existem três valores possíveis para X-Frame-Options:
  • 12. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 12 NEGAR - A página não pode ser apresentada em um <iframe></iframe>, independentemente do local que tenta executá-lo. SAMEORIGIN - A página só pode ser exibida em um <iframe></iframe> sobre a mesma origem que a própria página. ALLOW-FROM uri - A página só pode ser exibida em um <iframe></iframe> sobre a origem especificada.
  • 13. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 13 (*) se você especificar NEGAR, qualquer tentativa de carregar a página de outro site, ou mesmo do site local, em um <iframe></iframe>, será impedida. (**) se especificar SAMEORIGIN, é possível carregar a página de um site local em um <iframe></iframe>, incluindo-a no mesmo local que serve a página.
  • 14. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 14 Boas Práticas para otimizar a segurança Backup NOW - faça regularmente o backup de seu site. Se possível, adquira a versão PRO do Akeeba Backup para aproveitar todos os recursos dessa excelente extensão.
  • 15. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 15  Biblioteca idna_convert - acesse libraries/idna_convert/ e delete o arquivo example.php.Se o arquivo não existe em seu pacote de instalação fique tranquilo, significa que o problema foi resolvido.  Biblioteca idna_convert - acesse libraries/idna_convert/ e delete o arquivo example.php.Se o arquivo não existe em seu pacote de
  • 16. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 16 instalação fique tranquilo, significa que o problema foi resolvido.  Usuário do Grupo Super Users - troque o usuário padrão do Joomla (admin), por outro qualquer e atribua-lhe uma senha forte.  Extensões de Terceiros - evite instalar extensões pouco conhecidas e utilizadas.
  • 17. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 17  Permissões - diretórios devem possuir permissão (0755) e arquivos (0644).  Relatório de Erros - desabilite o relatório de erros pois eles pesam o seu website e mostram aos possíveis invasores, falhas de segurança caso existam. Para desabilitar o relatório basta seguir a seguinte sequência: Configurações Globais - Sistema - Relatório de Erros -> nenhum
  • 18. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 18  Arquivo de configuração - renomeie e mova o arquivo configuration.php para um novo diretório. Exemplo: 1.Renomeie o arquivo configuration.php que está na raiz do website, para config.conf 2.Crie um diretório config e mova o arquivo para este diretório 3.Com o bloco de notas aberto, digite o script abaixo e salve,
  • 19. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 19 na raiz do seu website, como configuration.php  Arquivo de configuração - renomeie e mova o arquivo configuration.php para um novo diretório.
  • 20. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 20 Extensões Importantes na Otimização da Segurança  Admin Exile - plugin que encapsula o /administrator do site. URL: http://extensions.joomla.org/search?q=admin+exile&q=adminexile  Bye Bye Generator - plugin para customização do Generator. URL: http://extensions.joomla.org/search?q=byebyegenerator
  • 21. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 21  Browser Update Warning - plugin que avisa se o navegador está desatualizado. URL: http://extensions.joomla.org/search?q=browser  Akeeba Backup - Componente para backup e recuperação do site. URL: http://extensions.joomla.org/extensions/access-a-security/site- security/backup/1606?qh=YToxOntpOjA7czo2OiJha2VlYmEiO30%3D
  • 22. © 2000 / 2013 – Júlio Coutinho – Todos os direitos reservados. http://www.juliocoutinho.com.br Página 22 Júlio Coutinho - @cout45 http://www.juliocoutinho.com.br Cout45@gmail.com +55 61 9161-9219 Palestra disponível em http://www.slideshare.net/cout45/